Следует упомянуть две очевидные вещи.
Во-первых, с оговоркой, что я лишь кратко просмотрел документ, на который вы ссылаетесь, я вижу, что в разделе 3 говорится, что используемая схема шифрования требует 3 свойства, а именно
аддитивный гомоморфизм,
"модульное сравнение открытого текста", например. проверка если $Enc(с)$ является шифрованием 0,
протокол распределенной генерации ключей.
было бы легче ответить на этот вопрос, если бы вы могли точно формализовать, какие операции/свойства вам нужны.
на основе решетки
При всем при этом наиболее распространенным типом частично гомоморфной схемы шифрования в настоящее время являются варианты шифрования R (LWE). Однако это удовлетворяет «зашумленному» варианту аддитивного гомоморфизма, а это означает, что можно оценить только некоторые априори ограниченный число аддитивных гомоморфизмов.
Если нужны произвольные дополнения, то и это можно сделать, например схемы FHEW/TFHE для этого, пожалуй, хорошо подходят (обратите внимание, что это полностью гомоморфный схемы шифрования, хотя они особенно эффективны).
Это правдоподобно/вероятно, в вашем случае это нормально.
Для двух других пунктов мне нужно было бы более внимательно прочитать/знать точные требования схемы. Мне кажется правдоподобным, что схемы шифрования на основе RLWE могли бы работать в вашей ситуации, но я не пытаюсь заполнять подробности, потому что...
Эль-Гамаль на базе:
Хотя вы правы в том, что «классический» Эль-Гамаль (скажем, основанный на Диффи Хеллмане с конечным полем) несколько устарел, вы может использовать Эль-Гамаля на основе групп эллиптических кривых.
Это «современно» (хотя все еще слабо против квантовых компьютеров, если это вас беспокоит) и, вероятно, проще для ваших целей, чем разработка деталей того, как использовать схему на основе решетки.
Обратите внимание, что для общее шифрование нет особых причин использовать варианты эллиптической кривой Эль-Гамаля (подробности см. здесь), но поскольку вы специально хотите использовать аддитивный гомоморфизм, использование Эль-Гамаля имеет смысл.
Если вы по какой-то причине против использования эллиптической кривой Эль-Гамаля, вам остается только использовать схемы на основе решетки. Это потребует дополнительной работы, чтобы выяснить детали, и людям на этом веб-сайте будет легче помочь вам, если вы сможете точно сказать, какие у вас требования к базовой схеме шифрования.